Auto's zitten anno 2021 vol met sensoren. Ze registreren wat je doet met je stuur en je pedalen, wat je wielen doen, wat je motor doet en ga zo maar door. Alles om ervoor te zorgen dat jij met je vierwieler van A naar B komt.

Die data blijft echter lang niet meer alleen in je auto zitten, maar wordt steeds vaker gebruikt door allerlei andere bedrijven, overheden en organisaties voor hun eigen doeleinden. Neem Rijkswaterstaat, dat gegevens van auto's wil gebruiken om wegen beter te kunnen onderhouden en sneller te kunnen strooien. Autofabrikanten gebruiken de data weer om hun auto's te verbeteren. Hiervan is Tesla het bekendste voorbeeld; het gebruikt data uit auto's die met Autopilot rijden om Autopilot te kunnen verbeteren. En in Nederland bieden enkele verzekeraars, waaronder de ANWB, aan de premie te verlagen in ruil voor gegevens over het rijden.

Hoewel die autodata nu al wordt gebruikt, staat dit gebruik waarschijnlijk nog in de kinderschoenen, stellen experts. Daarom is het belangrijk om ons nu te verdiepen in de auto als gegevensdrager. Hoe wordt die data nu gebruikt en welke ontwikkelingen komen er nog aan? Maar ook: hoe zit het met pdfje privacy en de transparantie?

Alles bij de bron; Tweakers [plus-artikel; registratie nodig]


 

Aanvallers hebben gesponsorde zoekresultaten gebruikt om een malafide versie van het programma ITerm2 voor macOS te verspreiden. Gebruikers van zoekmachine Baidu die op iTerm2 zochten kregen een gesponsord zoekresultaat te zien dat naar de officiële iTerm2-website leek te leiden. In plaats van het officiële .com-domein hadden de aanvallers echter een identiek .net-domein geregistreerd.

Op de nepwebsite werd een aangepaste en gesigneerde versie van iTerm2 aangeboden. Bij het starten van de applicatie werd ook een malafide library gestart die verbinding met een server maakte. Deze server liet de malware aanvullende malware installeren, die onder andere de keychain, bash history en hosts van het besmette systeem probeerde te stelen.

Na ontdekking van de malware heeft Apple het ontwikkelaarscertificaat waarmee de malafide iTerm2-versie werd gesigneerd ingetrokken. Verder verwijderde Baidu de gesponsorde zoekresultaten en is ook de malafide website offline.

Alles bij de bron; Security


 

Bitdefender heeft een gratis sleutel vrijgegeven voor slachtoffers van de grote hack met REvil-gijzelsoftware die enkele maanden geleden plaatsvond, schrijft het bedrijf. Met de sleutel hebben slachtoffers weer toegang tot hun versleutelde bestanden. 

De grootschalige hack begon bij Kaseya, een bedrijf dat softwarepakketten levert aan bedrijven over de hele wereld. Met deze softwarepakketten kunnen bedrijven computersystemen van klanten op afstand beheren. De hackers kwamen binnen via een zwakke plek in de software en konden zo systemen van honderden bedrijven gijzelen. 

De sleutel is ruim twee maanden na de aanval ontwikkeld in samenwerking met "een betrouwbare wetshandhaver". Het is niet bekend welke dat is. Het onderzoek naar de hack loopt nog, maar de sleutel is al vrijgegeven zodat gebruikers weer toegang krijgen tot hun systemen.

Eind juli kwam Kaseya al met een sleutel voor de hack. Deze sleutel was echter alleen op aanvraag beschikbaar. De nieuwe sleutel is voor iedereen gratis te downloaden.

De uit Rusland afkomstige REvil-groep verdween 14 juli ineens van het internet. Na twee maanden afwezigheid, verscheen de groep begin deze maand weer online, zo schreef Bleeping Computer. Inmiddels zou de groep weer verschillende ransomwareaanvallen hebben uitgevoerd.

Alles bij de bron; NU


 

We worden afgeluisterd, gestuurd, gevolgd en geleefd. "Op het moment dat je een technologie in de wereld brengt, is hij heel moeilijk weg te denken", zegt internetpionier Marleen Stikker, pleitbezorger voor een duurzame omgang met technologie, in Kunststof. En ze legt uit: "Degene die technologie in handen heeft, heeft een machtspositie."

"Er is een beweging, waar ik onderdeel van ben, die technologie wil democratiseren en er is een beweging die dat steeds verder van mensen wegbrengt om daarmee macht uit te oefenen. Dat is al tientallen jaren de strijd rondom technologie en met name digitalisering en het internet."

"De eerste vraag die je moet beantwoorden is of de technologie werkelijk gaat bijdragen of dat er niet andere mogelijkheden zijn. Op het moment dat je een technologie in de wereld brengt, is hij heel moeilijk weg te denken. Dus je moet heel goed weten wat je in de wereld brengt."

En dat gaat volgens de internetpionier om dit moment zeer onnauwkeurig. Daarvoor moeten processen worden ingericht: "Welke vorm van technologie willen we wel of niet? En welk gedrag willen we wel of niet? Want uiteindelijk ontwerp je gedrag. Zoals bijvoorbeeld het geval is bij de Coronamelder en de CoronaCheck-app. We roepen dat het een app is, maar uiteindelijk zeggen we daarmee, je moet je op deze manier gedragen. Je ontwikkelt niet enkel een app, je kweekt gedrag of je legt gedrag op."

"Het proces waarmee het tot zo’n keuze komt is ook niet transparant. Er zijn niet veel mensen bij betrokken. Het is echt technocratisch. De manier waarop deze crisis is behandeld, is heel technocratisch."

Alles bij de bron; NPO-Radio1


 

Een datalek bij het Belgische Onafhankelijk Ziekenfonds is veroorzaakt door een fout bij een systeemmigratie. Eén van de poorten bleef na de migratie open voor het internet staan, waardoor een aanvaller toegang tot het systeem kon krijgen en data van maximaal 190.000 mensen bemachtigde. Dat laat het Ziekenfonds tegenover DataNews weten.

Het gaat om naam, adresgegevens, contactgegevens, bankrekeningnummers, verzekering- en betaalinformatie, familiegegevens, volmachten, medische akkoorden, terugbetalingen, uitkeringen en ziekteperiodes. De aanvaller waarschuwde het Ziekenfonds en stelde de buitgemaakte gegevens te hebben verwijderd. 

Volgens de organisatie ontstond de inbraak op een technisch logsysteem waar acties op 'Mijn OZ' worden bijgehouden. Door een fout bleef na een migratie van het systeem één van de poorten openstaan, waardoor de aanvaller handelingen op het platform enige tijd kon inzien.

Alles bij de bron; Security


 

In december 2019 werd de Universiteit Maastricht (UM) geconfronteerd met een  cyberaanval  die de voortgang van het  onderwijs en  onderzoek tijdelijk in gevaar  bracht. De omvang van de cyberaanval was aanleiding voor de Inspectie van het  Onderwijs (hierna inspectie) om een stelselonderzoek uit te voeren naar  cyberveiligheid in het hoger onderwijs. 

Kort gezegd:  wat kan het hoger onderwijs  doen  om de weerstand tegen cyberdreigingen te vergroten en zo de goede voortgang en kwaliteit van het onderwijs en onderzoek te waarborgen?  

Daartoe heeft de inspectie in de periode juli 2020 – juni 2021 deskresearch uitgevoerd, gesprekken gevoerd met veertien instellingen voor hoger onderwijs (ho-instellingen), en gesprekken gevoerd met betrokken partijen op het gebied van hoger onderwijs en op het gebied van cyberveiligheid. Dit onderzoek beantwoordt drie deelvragen:

  1. In hoeverre is er bij hoger onderwijsinstellingen aandacht voor cyberdreigingen en welke maatregelen worden er genomen om de weerstand te vergroten?
  1. In hoeverre vragen kenmerken van hoger onderwijsinstellingen om andere accenten binnen het cyberrisicomanagement?
  1. Wie heeft zicht op en is verantwoordelijk voor de informatiebeveiliging van het Nederlandse hoger onderwijs

...Met dit onderzoek wil de inspectie een bijdrage leveren aan het beeld van  cyberveiligheid in het hoger onderwijs.

Vanuit de Wet op het hoger onderwijs zijn  instellingen zelf verantwoordelijk voor de inrichting van de organisatie en voor een goede bedrijfsvoering. Het bestuur wordt geacht de kwaliteit en goede voortgang van het onderwijs en onderzoek te waarborgen.

We hebben dit onderzoek uitgevoerd nadat een grote cyberaanval op een Nederlandse universiteit wereldkundig werd. Daarna werd de samenleving geconfronteerd met de COVID-19 pandemie waardoor de afhankelijkheid van de digitale infrastructuur enorm toenam. Mede door deze gebeurtenissen werd het onderwerp cyberveiligheid tijdens de uitvoering van dit onderzoek in het maatschappelijke debat in toenemende mate onderwerp van gesprek.

Alles bij de bron; RijksOverheid


 

Een kritieke kwetsbaarheid in verschillende clients van het versleutelde chatplatform Matrix maakt het mogelijk voor een aanvaller om end-to-end versleutelde berichten te ontsleutelen. Door de kwetsbaarheid kan een aanvaller in bepaalde gevallen encryptiesleutels bemachtigen en daarmee eerder verstuurde versleutelde berichten te lezen.

Het probleem wordt veroorzaakt door een logische fout in de room key sharing functionaliteit van Matrix. Deze feature zorgt ervoor dat een Matrix-client die de encryptiesleutels mist voor het ontsleutelen van een verstuurd bericht die sleutels aan de afzender kan vragen. Bij dit verzoekt blijkt dat de identiteit van de aanvrager niet goed wordt gecontroleerd. Hierdoor is het mogelijk om via een gecompromitteerd account het apparaat te imiteren dat de encryptiesleutels vraagt.

Volgens Matrix zou een aanvaller naast het bemachtigen van de encryptiesleutels ook het account van de ontvanger van de berichten moeten compromitteren. Vervolgens is het mogelijk om de eerder verstuurde versleutelde berichten te lezen.

De Matrix-ontwikkelaars benadrukken dat het hier niet om een kwetsbaarheid in het Matrix-protocol gaat, maar een lek in de implementatie. Gebruikers wordt dan ook aangeraden om hun clients te updaten. 

Alles bij de bron; Security


 

De Ierse Data Protection Commission wil met twee onderzoeken naar TikTok kijken of het bedrijf zich houdt aan de AVG. Met het eerste onderzoek zal de DPC kijken naar hoe TikTok data van kinderen verzamelt. Het tweede onderzoek is gericht op data die naar China gestuurd wordt.

Bij het onderzoek naar kinderdata kijkt de DPC naar verschillende onderdelen van dataverzameling. Zo wil de toezichthouder onderzoeken of TikTok data van gebruikers onder de achttien jaar wel verzamelt en verwerkt op een manier die onder de AVG is toegestaan. Daarnaast gaat de DPC kijken naar de leeftijdsverificatiemethodes die het sociale medium inzet voor kinderen onder de dertien jaar. 

Over het tweede onderzoek geeft de DPC vooralsnog minder details. De toezichthouder zegt met dit tweede onderzoek te willen kijken naar persoonlijke data die TikTok naar China stuurt. Daarbij ligt de focus op de vraag of TikTok aan de AVG voldoet door deze persoonlijke data naar buiten de Europese Unie te sturen. 

Alles bij de bron; Tweakers


 

Wie privacytools.io bezoekt, krijgt voortaan een redirect naar PrivacyGuides.org. Het team achter de site meldt gemigreerd te zijn, omdat de bezitter van de originele domeinnaam van privacytools.io er al een jaar niet meer bij betrokken is en onduidelijk is of en zo ja wanneer deze weer samen zou werken. 

Volgens de huidige projectleden lukte het al maanden niet om contact met hem te krijgen en reageerde hij niet op de sporadische momenten waarop hij wel kort in communicatiekanalen van het project verscheen. Omdat de betrokkenen wel het beheer over de webserver hebben, is besloten onder een nieuwe naam verder te gaan.

PrivacyGuides is een website waar gebruikers informatie kunnen vinden over privacywaarborgen van software, diensten en aanbieders. Doel is om gebruikers die online hun privacy willen beschermen tot een geïnformeerde keuze te laten komen. Het team achter de site controleert de tools regelmatig. 

Alles bij de bron; Tweakers


 

Gevoelige gegevens van het ROC Mondriaan in Den Haag zijn op het darkweb gepubliceerd. Het gaat om onder meer klachtenafhandelingen en privégegevens van docenten en studenten. Het ROC werd drie weken geleden slachtoffer van een hack. 

NU.nl heeft de gegevens op het darkweb, het afgeschermde deel van het internet, ingezien en het ROC daarvan op de hoogte gesteld.

Inmiddels heeft de onderwijsinstelling op haar website ook een verklaring geplaatst, waarin ze schrijft dat er op dit moment nog onderzoek wordt gedaan. Hackers vroegen na de aanval volgens een woordvoerder "een erg hoog bedrag", dat na overleg met het ministerie van Onderwijs, Cultuur en Wetenschap niet is betaald.

De gegevens die door de hackers zijn gedeeld, bevatten veel gevoelige informatie, zoals klassenlijsten, mails aan ouders en persoonsgegevens van studenten en docenten. Verder zijn financiële gegevens en bedrijfsprotocollen van de school gelekt.

Alles bij de bron; NU


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha